Access Based Enumeration ( ABE )の仕組み
環境
- ONTAP 9
- Data ONTAP 8 7-Mode
回答
- Access-Based Enumeration(ABE;アクセスベースの列挙)がCIFS共有で有効になっている場合、 その下のフォルダまたはファイルにアクセスする権限がないユーザ の環境には表示されません。
- ファイルとフォルダに対する実際の権限は変更されず、表示のみが変更されます。
- ABEは共有自体を非表示にするのではなく、アクセス権限に基づいて、その下に作成されたフォルダ/ファイルを非表示にするだけです。
- ユーザまたは自動化されたシステムが、インデックス作成または管理の目的ですべてのファイルとフォルダの可視性に依存している場合、ABEはこれらの操作を中断する可能性があります。
注: SVM単位のグローバルオプションはありません。必要に応じて、各共有でABEを有効にする必要があります。
- ローカル管理者には引き続き無制限の列挙があります。
- BUILTIN\Administratorsグループのメンバーに は、ローカルシステムへの無制限のアクセスが許可されます。
- したがって、このグループのアカウントはディレクトリ全体を列挙できます。
- デフォルトでは、ABEは無効になっています。
- ABEノユウコウカ
- Data ONTAP 8 7-Modeの場合
cifs shares -change sharename -accessbasedenum
- ONTAP 9の場合
::> cifs share properties add -vserver <vserver> -share-name <share> -share-properties access-based-enumeration
- Data ONTAP 8 7-Modeの場合
- ABEノムコウカ
- Data ONTAP 8 7-Modeの場合
cifs shares -change sharename -noaccessbasedenum
- ONTAP 9の場合
::> cifs share properties remove -vserver <vserver> -share-name <share> -share-properties access-based-enumeration
- Data ONTAP 8 7-Modeの場合
追加情報
accessbasedenumオプションを指定してCIFS共有テストを作成する場合- 共有
\FILERTESTはユーザDOMAINuserAにマッピングされています。- Provaという名前のフォルダ が、DOMAINuserAのOwner/Full Control権限で作成されます。
- DOMAINuserBなどの別のユーザは、共有テストを表示できますが、 共有下のフォルダProvaは表示されません
\FILERTEST。これは想定される動作です。 - CIFS共有テストを非表示にするオプションには、次のようなものがあります。
-nobrowseオプションを使用したCIFS共有の参照の無効化- 共有を作成し、名前の末尾に$記号を追加します。
- 共有
- ONTAP 9.9.1以降では、共有レベルの権限に基づいて共有を列挙するCIFSオプションが導入されました。
-is-share-enum-permission-check-enabled(権限:advanced)- このパラメータをtrueに設定すると、NetShareEnum呼び出しは、ユーザがアクセスできる共有でのみ応答します。デフォルト値はfalseで 、すべての共有で応答します。
- SMB共有でのアクセスベースの列挙の有効化と無効化(ONTAP 9 +)
- アクセスベースの列挙を使用した共有のフォルダのセキュリティの確保(clustered ONTAP 8.3.1)
- Data ONTAP 7.3ファイルアクセスとプロトコル
- na_cifs_sharesのマニュアルページ
- アクセスベースの列挙による共有のフォルダのセキュリティの概要(netapp.com)
- ABEの影響を確認するためにクライアントを再接続する必要はありません。次のクエリディレクトリでは、ABEが有効になっている場合、ユーザがアクセスできないファイル\フォルダは結果に返されません。